Skip to main content
È disponibile una versione più recente di questo prodotto.
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurare il certificato CA con il servizio caricatore plug-in (SPL) di SnapCenter sull'host Linux

Collaboratori
PDF

È necessario gestire la password del keystore SPL e il relativo certificato, configurare il certificato CA, configurare i certificati root o intermedi per l'archivio di trust SPL e configurare la coppia di chiavi firmate CA per l'archivio di trust SPL con il servizio caricatore plug-in SnapCenter per attivare il certificato digitale installato.

Importante SPL utilizza il file 'keystore.jks', che si trova in ‘/var/opt/snapcenter/spl/etc’ sia come Trust-store che come keystore.

Gestire la password per l'archivio chiavi SPL e l'alias della coppia di chiavi firmate CA in uso

Fasi

  1. È possibile recuperare la password predefinita del keystore SPL dal file di proprietà SPL.

    È il valore corrispondente alla chiave 'SOL_KEYSTORE_PASS'.

  2. Modificare la password del keystore:

     keytool -storepasswd -keystore keystore.jks
. Modificare la password per tutti gli alias delle chiavi private nel keystore con la stessa password utilizzata per il keystore:
    keytool -keypasswd -alias "<alias_name>" -keystore keystore.jks

    Aggiornare lo stesso per la chiave SPL_KEYSTORE_PASS nel file spl.properties.

  3. Riavviare il servizio dopo aver modificato la password.

Nota La password per l'archivio chiavi SPL e per tutte le password alias associate della chiave privata deve essere la stessa.

Configurare i certificati root o intermedi per l'archivio di trust SPL

È necessario configurare i certificati root o intermedi senza la chiave privata in SPL trust-store.

Fasi

  1. Accedere alla cartella contenente il keystore SPL: /var/opt/snapcenter/spl/etc.

  2. Individuare il file 'keystore.jks'.

  3. Elencare i certificati aggiunti nel keystore:

     keytool -list -v -keystore keystore.jks
. Aggiungere un certificato root o intermedio:
     keytool -import -trustcacerts -alias <AliasNameForCerticateToBeImported> -file /<CertificatePath> -keystore keystore.jks
. Riavviare il servizio dopo aver configurato i certificati root o intermedi in SPL trust-store.
Nota Aggiungere il certificato CA principale e i certificati CA intermedi.

Configurare la coppia di chiavi con firma CA nell'archivio di trust SPL

È necessario configurare la coppia di chiavi firmate della CA nell'archivio di fiducia SPL.

Fasi

  1. Accedere alla cartella contenente il keystore /var/opt/snapcenter/spl/ecc. della SPL

  2. Individuare il file 'keystore.jks'.

  3. Elencare i certificati aggiunti nel keystore:

     keytool -list -v -keystore keystore.jks
. Aggiungere il certificato CA con chiave pubblica e privata.
     keytool -importkeystore -srckeystore <CertificatePathToImport> -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype JKS
. Elencare i certificati aggiunti nel keystore.
     keytool -list -v -keystore keystore.jks
. Verificare che il keystore contenga l'alias corrispondente al nuovo certificato CA aggiunto al keystore.
. Modificare la password della chiave privata aggiunta per il certificato CA in password archivio chiavi.

    Default SPL keystore password è il valore della chiave SPL_KEYSTORE_PASS nel file spl.properties.

     keytool -keypasswd -alias "<aliasNameOfAddedCertInKeystore>" -keystore keystore.jks
. Se il nome alias nel certificato CA è lungo e contiene spazi o caratteri speciali ("*",","), modificare il nome alias con un nome semplice:
     keytool -changealias -alias "<OrignalAliasName>" -destalias "<NewAliasName>" -keystore keystore.jks
. Configurare il nome alias dal keystore che si trova nel file spl.properties.

    Aggiornare questo valore con la chiave SPL_CERTIFICATE_ALIAS.

  4. Riavviare il servizio dopo aver configurato la coppia di chiavi firmate della CA in SPL trust-store.

Configurare l'elenco CRL (Certificate Revocation List) per SPL

Configurare il CRL per SPL

A proposito di questa attività

  • SPL ricerca i file CRL in una directory preconfigurata.

  • La directory predefinita per i file CRL per SPL è /var/opt/snapcenter/spl/etc/crl.

Fasi

  1. È possibile modificare e aggiornare la directory predefinita nel file spl.properties in base alla chiave SPL_CRL_PATH.

  2. È possibile inserire più file CRL in questa directory.

    I certificati in entrata verranno verificati per ciascun CRL.